[조국 사태의 재구성] 69. 표창장 위조도구라던 ‘알캡처’, PC에 존재하지도 않았다

검찰이 정경심 교수를 ‘표창장 위조범’으로 몰아갔던 모든 증거는 사실상 동양대 교양학부 강사휴게실에서 ‘우연히’ 발견된 PC에서 나왔다. 그 ‘표창장 관련 파일들’ 중에서 가장 핵심이 바로 ‘총장님 직인.JPG’라는 파일이다.

실제 검찰이 주장하는 위조 절차에서 이 파일이 핵심적인 단계이기도 하지만, 이 파일의 중요성은 발견 이후보다 오히려 발견 이전의 검찰 행적 때문에 더 주목된다. 검찰에게 이 파일이 얼마나 중요했으면 검찰은 이 파일이 담긴 PC가 발견되기도 며칠 전부터 SBS, 조선일보 등 언론들을 동원해 ‘총장 직인 파일이 발견됐다’며 미래를 예언하는 언플까지 하지 않았는가.

앞서 살펴봤듯 검찰은 첫 포렌식 보고서에서부터 이 파일이 ‘화면 캡처’ 방식으로 만들어졌으며 구체적으로 해당 PC에 설치되어 있었던 ‘알캡처’ 프로그램을 사용했다고 주장했고, 명백한 반대 증거에도 불구하고 여러 억지 논리들을 동원하며 1심과 2심 재판 내내 이 주장을 고수했다. 그래서 이번 회에서 그 ‘알캡처’ 주장을 산산이 박살내어 보겠다.

‘알캡처’ 기본 포맷 PNG, JPG로 바꿔도 ‘품질값 100’

표창장 파일들이 제작된 2013년 6월 당시 ‘알캡처’ 프로그램의 최신 버전은 1.6이었다. (최신 버전이 아니라고 가정하더라도 그 이전 버전은 1.5인데, 여기서 살펴보는 기능적 측면들에 대해 두 버전의 기능은 동일하다.)

그런데 ‘알캡처’ 프로그램에서 저장되는 이미지 파일은 기본적으로 JPG가 아닌 PNG 포맷이다. 즉 ‘알캡처’를 사용했다면 기본적으로는 ‘총장님 직인.JPG’가 아니라 ‘총장님 직인.PNG’가 만들어졌어야 당연했다는 것이다.

JPG 파일은 기본적으로 ‘유손실 압축’을 하기 때문에 사람들의 눈에 덜 띄는 한도 내에서 품질을 떨어뜨린다. 반면 PNG 포맷은 화질 열화 없이 그대로 저장하는 포맷으로서(‘무손실 압축’), 대신 파일 크기가 JPG보다 조금 더 커진다.

캡처 프로그램의 목적은 PC의 화면을 그대로 저장하는 것이기 때문에 얼마라도 화질이 떨어지게 되는 JPG 파일 포맷보다는 화질 저하가 없는 PNG 포맷이 더 적합하다. 그래서 ‘알캡처’도 기본 파일 저장 포맷이 PNG로 되어 있는 것이다.

물론 확률적으로 낮지만 표창장 파일 작업을 했던 작업자가 개인적으로 특별히 JPG를 선호하거나 하는 이유로 일부러 JPG로 설정해 파일을 저장했을 가능성도 있을 수 있다. 그런데 이 상대적으로 작은 가능성에는 더 심각한 문제가 있다.

아래는 알캡처 1.6 버전의 ‘환경설정’ 화면이다. 왼쪽 화면이 기본 상태로서 아래 ‘캡처 저장하기’ 부분에 ‘파일 포맷’이 ‘PNG’로 설정되어 있음을 볼 수 있다.

오른쪽 화면은 굳이 JPG 포맷으로 저장하기 위해 사용자가 ‘파일 포맷’ 설정을 ‘PNG’에서 ‘JPG’로 변경해놓은 상태이다. 그런데 이 상태에서 그 오른쪽 ‘품질’ 항목을 보면 ‘100’이라는 값이 기본적으로 설정되어 있다. 여기서 ‘품질’이란 ‘jpeg quality’, ‘품질값’이라고 부르는 일종의 파일 저장 옵션이다.

JPG 포맷은 파일 크기를 많이 줄이는 대신 화질을 떨어뜨리는 ‘유손실 압축’ 포맷이기 때문에, 파일 포맷 자체에 화질을 얼마나 떨어뜨릴 것인가를 정하는 내부 설정이 있다. 이 값이 낮을수록 눈에 띄게 화질이 떨어지고 높을수록 화질이 높아진다.

 (이미지 파일을 생성하는 프로그램마다 고유의 기본 JPG 품질값이 있는데, 사용자가 품질값을 변경할 수 있는 프로그램도 있고 특정 값으로 고정된 프로그램도 있다. 참고로 JPG에서 품질값을 최대치인 100으로 설정해도 무손실압축인 PNG보다는 화질이 떨어진다.)

다시 한번 설명하지만, 캡처 프로그램은 화면을 그대로 캡처하는 것이 주목적이기 때문에, ‘알캡처’에서도 사용자가 굳이 PNG 대신 JPG로 선택하는 경우라도 그나마 화질을 가장 덜 떨어뜨리는 ‘품질값 100’으로 기본값이 설정되어 있는 것이다.

‘총장님 직인.JPG’는 ‘품질값 75’, ‘알캡처’ 주장과 상반

그런데 아래 화면에서 보다시피, 문제의 ‘총장님 직인.JPG’ 파일의 ‘품질값’을 확인해보니 100이 아닌 75였다(여러가지 프로그램들과 방법들로 교차 확인했다). 75라는 품질값은 상당히 낮은 것으로, 실제 육안으로 들여다봐도 자글자글한 노이즈들이 발견되는 등 품질이 낮은 것이 확인된다.

(제조사와 종류를 막론하고 이미지를 저장하는 프로그램들 중 이렇게 낮은 품질값으로 설정된 프로그램은 상당히 드물다. 인터넷이 처음 일반인들에게 보급되기 시작하던 90년대 말에는 네트워크로 전송되는 이미지 파일의 크기를 줄이기 위해 이런 낮은 품질값으로 저장하는 프로그램들도 있었지만 지금은 거의 찾아보기 힘들다. 즉 이 ‘품질값 75’가 상당한 의미가 있을 정도로 특징적이어서, 이 값을 통해 ‘총장님 직인.JPG’를 실제 생성했던 프로그램을 찾아볼 수 있는 매우 중요한 단서가 된다. 차후 다시 따져볼 것이다.)

물론 사용자가 굳이 원한다면, ‘알캡처’의 파일 포맷을 일부러 기본 PNG에서 JPG로 바꾸고, 또 원래 100이던 품질값을 75로 떨어뜨리는 것이 불가능하지는 않다. 하지만 이 방향의 시나리오대로라면, 당시 표창장 파일 작업자가 두 차례나 거듭해서 ‘총장님 직인.JPG’ 파일의 화질을 의도적으로 떨어뜨리려 노력했다는 의미가 된다. 먼저 PNG에서 JPG로 변경하면서 한 번 화질을 떨어뜨리고, 이어서 품질값을 기본값 100에서 75로 낮추면서 또다시 화질을 떨어뜨렸다는 것이기 때문이다.

그런데 여기서 우리가 잊지 말아야 할 핵심적 대전제가 있다. 검찰이 주장하는 정경심 교수의 혐의가 ‘사문서 위조’라는 것이다. 문서를 위조하려는 목적으로 이미지 작업을 하면서 일부러 품질을 떨어뜨리려 반복적으로 애쓴다는 것은, 단순히 상식적이냐 아니냐의 차원을 넘어서, 범죄의 수단과 실행 과정이 범죄의 동기를 정면으로 역행하는 행위다. 기술적으로는 불가능하지 않지만 인간의 기본적 행동 양식 측면에서는 있을 수 없는 일이다.

요컨대 ‘총장님 직인.JPG’를 만드는 도구로 ‘알캡처’를 사용했다는 이승무 분석관과 검찰의 주장은, 사실 이 단계에서부터 들어줄 가치도 없는 헛소리라고 할 수 있다. 상식과 의도를 모두 배신하는 황당한 주장이기 때문이다.

아이콘 파일이 프로그램 설치됐던 증거라고?

하지만 검찰의 ‘알캡처’ 주장이 전혀 사실이 아니라는 결정적인 증거는 따로 있다. 의외로 필자도 1심이 아닌 항소심 막판 단계에 가서야 깨달은 문제인데, 이 증거 하나만으로도 앞서의 모든 반박이 별 필요가 없어질 정도로 결정적이다.

앞서 검찰의 12467 포렌식 보고서에서 작성자 이승무 분석관이 2012년 초 알캡처 프로그램의 설치 근거로서 제시했던 화면을 다시 보자. 지난 회에서는 여기서 ‘정진ㅇ’라는, 정경심 교수가 아닌 다른 사용자의 흔적이 나왔음에도 화면에서 컬럼 크기가 줄여짐으로써 숨겨져 있었다는 사실을 확인했다.

그런데 사실 이 부분에 더욱 황당한 함정이 있었다. 사용자가 정 교수냐 아니냐를 따질 필요도 없이, 이승무가 ‘알캡처’의 흔적이라고 주장한 이 흔적이 사실은 아예 ‘알캡처’의 흔적이 아닌 것이 확실하기 때문이다.

아래는 지난 회에서도 잠깐 살펴본 것으로, 위 화면에서 이승무가 비할당영역에서 ‘ALCAPTURE’라는 검색으로 찾아낸 내용의 전체다.

\DEVICE\HARDDISKVOLUME1\DOCUMENTS AND SETTINGS\정진ㅇ\APPLICATION DATA\ESTSOFT\ALUPDATE\ICON\ALCAPTURE.ICO

파일 경로(path)임이 분명한 이 내용에서 가장 마지막 부분을 보면 ‘ALCAPTURE.ICO’라고 되어 있는 것을 볼 수 있다, 즉 이승무가 찾아낸 것은 실행되는 프로그램인 EXE 파일이 아니라 아이콘 파일인 ICO 파일이었다.

아이콘 파일은 아주 작은 크기의 이미지 파일이다. 파일 크기도 커봤자 100kB 정도이고 화면상의 크기도 기본적으로는 32x32이고 최대 크기도 256x256로 제한된다.

이승무는 포렌식 보고서에서 위 화면을 제시하면서 뒤의 확장자(‘.ICO’) 부분은 제외하고 ‘ALCAPTURE’ 부분에만 붉은 색 테두리를 둘러 강조 표시를 하면서, 뒤의 ‘ICO’ 확장자 부분은 상대적으로 주목받지 못하게 해놓았다.

‘알캡처 아이콘 파일이 있었다면 실행파일도 있었을 것 아니냐’ 하고 생각할 수 있다. 사실 필자도 안이하게도 1심 단계에서는 그런 정도로만 여겼다. 그런데 그렇지 않다. 이승무의 2016년보다 이전 시기에 대한 분석에서는 오직 아이콘 파일만 두 번 나왔을 뿐이고, 정작 알캡처 프로그램의 실체인 ‘ALCapture.exe‘는 전혀 나오지 않았다. 이게 어떻게 된 일일까?

그 이유는, 결론부터 말하자면 강사휴게실PC 1호에는 원래부터 실제 알캡처 프로그램은 없었고 오직 알캡처의 아이콘 파일만 있었기 때문이다. 너무도 자명한 그 이유를 살펴보자.

아래는 필자의 PC에서 ‘알캡처’ 없이 ‘알집’ 프로그램만을 설치한 후, 윈도우 탐색기로 ‘C:\Users\(계정)\AppData\Roaming\ESTsoft\ALUpdate\icon’ 폴더를 열어본 것이다. 여기서 보이는 7개의 파일들 중 첫번째인 ‘AlCapture.ico’ 파일이 바로 이승무가 알캡처 흔적을 찾았다고 했던 바로 그 파일이다. 파일 자체만 동일한 것이 아니라 파일의 경로도 사실상 동일하다. (윈도우 버전 차이 등으로 약간 달라 보이는 것.)

다시 강조하지만, 필자는 단지 ‘알집’만을 설치했을 뿐 ‘알캡처’ 프로그램은 설치하지 않았다. 그런데도 위에서 보다시피 이승무가 발견했다는 위치와 같은 곳에 ‘ALCapture.ico’ 파일이 생긴 것이다.

이는 이승무가 자신의 포렌식 보고서에서 PC 1호에 ‘알캡처’의 흔적이 있었다면서 마치 정 교수가 알캡처 프로그램을 사용할 수 있었던 것처럼 주장한 것을 완벽하게 뒤집는 심각하고 중대한 사실이다. 표창장 관련 파일들의 제작 과정 중 가장 핵심 단계에 대한 이승무의 막가파식 주장이 단번에 다 무너진 것이다.

‘알캡처의 흔적’이 알캡처의 흔적이 아니었다

그러면, ‘알캡처’ 프로그램을 설치하지 않았는데 어떻게 ‘ALCapture.ico’ 파일이 생겼을까. 여기엔 명백한 이유가 있다. 바로 ‘알집’의 업데이트 프로그램 때문이다.

‘알캡처’는 ‘알집’(AlZip)과 ‘알약’(AlYac) 등으로 잘 알려져 있는 ‘이스트소프트’ 사의 제품으로서, ‘알집’ 등의 ‘자매품’이라고 할 수 있다. 그런데 이 회사 ‘이스트소프트’는 ‘알집’과 ‘알약’ 등을 설치한 후 업데이트를 하려 할 때 다른 자매품 프로그램들을 설치해보도록 유도한다. ‘알집’을 설치하고 나면 업데이트를 하려 할 때마다 ‘알캡처’를 포함한 다른 프로그램들을 다운로드해서 설치하라고 반복적으로 권하는 것이다. 그 업데이트 화면은 바로 아래와 같다.

위 화면은 ‘알집’ 8.6 버전만이 설치된 상태에서 업데이트를 시도(‘알툴즈 업데이트’ 실행)했을 때 나타나는 화면이다. (‘알집’ 8.6 버전은 이승무가 포렌식 보고서에서 주목한 시기인 2012년 즈음의 버전이다.)

위 화면의 왼쪽 리스트를 보면, ‘알집 8.6’처럼 이미 설치되어 있는 프로그램은 보라색으로 ‘업데이트’ 버튼이 나타나는 반면, 필자가 설치하지 않은 ‘알씨’, ‘알송’ 등은 주황색으로 ‘설치하기’ 버튼이 나타나 있다. ‘알캡처’ 항목에도 역시 ‘설치하기’ 버튼이 보이므로 ‘알캡처’가 설치되어 있지 않은 상태임을 알 수 있다.

그런데, 이 ‘알툴즈 업데이트’ 프로그램의 왼쪽 리스트에는 알집, 알캡처 등의 여러 프로그램들의 아이콘들이 보인다. ‘알집’ 하나를 제외하면 모두 설치되지 않은 프로그램들인데 이 아이콘들은 어디서 나온 것일까? 그 답이 바로 앞서 탐색기 화면에서 봤던 ‘ALCapture.ico’ 등의 아이콘 파일들이다.

‘알툴즈 업데이트’ 프로그램은 실행된 직후에 자동으로 왼쪽의 리스트에 보여줄 프로그램 아이콘들을 서버로부터 다운로드해서 앞서 탐색기 화면에서 본 것처럼 특정 폴더에 저장한다.

즉 ‘알집’ 프로그램을 설치한 직후에는 이 아이콘 파일들이 존재하지 않지만, 업데이트 프로그램을 한번이라도 실행하고 나면 ‘알캡처’를 포함한 자매품 프로그램들의 아이콘 파일들이 줄줄이 자동으로 다운로드되어 앞서 본 여러 아이콘 파일들이 생성되는 것이다.

이 아이콘 파일들이 바로 이승무가 ‘알캡처 설치 흔적’이라며 주장했던 파일들이다. 다시 말해, 이승무가 찾았다는 ‘알캡처의 흔적’이라는 것은 실제로는 ‘알캡처’ 프로그램의 흔적이 전혀 아니었다. 알집 등 다른 프로그램이 설치된 상태에서 업데이트 프로그램을 실행했던 흔적에 불과한 것이다.

‘총장님 직인’ 만들었다는 ’알캡처’, 아예 없었다 반증

나아가서, 이승무가 마땅한 이유도 없이 미리부터 ‘알캡처’를 위조 도구라고 상정하고 강사휴게실PC 1호에 대해 탈탈 털어 뒤졌음에도 불구하고 아이콘 파일인 ‘ALCapture.ico‘의 흔적만이 나왔고 ‘알캡처’ 프로그램의 실체인 ‘AlCapture.exe’는 최소한의 흔적조차 없었다는 점도 중요하다.

이는 필자가 수행한 변호인 측 포렌식 분석 결과와도 일치한다. 필자는 이승무가 ‘알캡처’ 아이콘 파일을 발견할 때 사용한 포렌식 프로그램 ‘XWF’ 외에도 더 강력한 ‘Magnet AXIOM’, 포렌식 업계에서 광범위하게 쓰이는 ‘EnCase’ 등을 포함해 다양한 포렌식 전문 프로그램들을 사용해 반복해서 강사휴게실PC 1호를 샅샅이 뒤졌다. 그럼에도 2013년의 피의사실과 전혀 무관한 2016년에 처음 설치되었던 것 외에 ‘알캡처’가 설치된 흔적은 전혀 없었다.

이는 이 ‘표창장 위조’ 사건에서 최대 관건의 시기인 2013년 당시 ‘알캡처’ 프로그램은 강사휴게실PC 1호에 설치되어 있지 않았다는 결정적인 증명이라고 할 수 있다. 이승무와 그의 포렌식 결과들을 그대로 인용한 검찰이 주장한 표창장 제작 경위의 핵심 단계가 송두리째 날아간 것이다.

비유하자면, 검찰이 다이아몬드 반지 절도 혐의로 압수수색을 했는데, 다이아 반지 실물이 아닌 다이아 반지가 그려진 ‘전단지’ 한 장을 찾았을 뿐인데도 그걸 다이아 반지 절도의 증거라고 주장한 것과 똑같은 일이다. 그런데 이 사실을 거꾸로 바라보면, 샅샅이 뒤졌음에도 다이아 반지 관련으로는 전단지 하나만 나왔다는 것은 다이아 반지는 없다는 의미인 것이다.

이를 다시 말하면, 어떤 경위로든 결과적으로 강사휴게실 PC 1호에 표창장 파일들이 존재한다는 최종 결과만 사실로 인정할 수 있을 뿐, 이 PC에서 표창장 파일을 만든 것이 아니라는 의미가 된다. 이승무 주장의 논리를 그대로 따르자면 말이다.

한편, 이승무의 능력이 모자라서 혹은 다른 여러가지 여건으로 인해서, ‘알캡처’ 프로그램을 설치하지 않았는데 ‘알캡처’ 아이콘 파일이 생성된 이런 과정을 몰랐을 수는 있다. 하지만 단지 조그만 아이콘 파일 하나가 발견된 것을 ‘알캡처’ 프로그램이 설치되었던 흔적이라며 단정적으로 몰아간 것은, 몇 번을 다시 돌아봐도 악의적이라고 보지 않을 수가 없다.

처음부터 ‘답정너’ 식으로 정 교수가 범인이라고 답을 정해놓고 의도적으로 오직 그 결론만을 위해 분석을 한 것이 아니라면, 도대체 어떻게 이런 일방적 몰아가기 허위 분석이 가능했겠는가? 혹시 이승무가 ‘알캡처’에 사무친 사연이라도 있어 오직 ‘알캡처’에만 눈이 돌아가는 병적 증세라도 있었을 수도 있다고 너그러이 이해해주어야 할까?